ZDF berichtet über Herausforderungen der Cybersicherheit

Das ZDF hat ausführlich über den heutigen Safer Internet Day berichtet. Neben dem Besuch der Forschungsministerin Anja Karliczek am CISPA – Helmholtz-Zentrum für Informationssicherheit ging es dabei auch um die IT-Sicherheit von Unternehmen und Verbrauchern.

Im Oktober 2018 erwischte es die Druckerei Braun und Klein aus Saarbrücken. Eine Ransomware verschlüsselte Dateien auf allen Rechnern. Glücklicherweise hatte das Unternehmen eine Datensicherung angelegt und konnte so zumindest Teile der Daten rekonstruieren. Dennoch entstand ein Schaden, der auf rund 70.000€ geschätzt wird.

Das Team vom ZDF hat uns am Freitag besucht und mit uns über Sicherheit im Internet gesprochen. Das Ergebnis war ebenfalls im Rahmen der heutigen Berichterstattung zu sehen. Dabei ging es insbesondere um die Frage, wie sich Unternehmen und Privatpersonen vor Viren, Ransomware und Datendiebstahl schützen können.

Einfallstor ist unserer Einschätzung nach häufig der „Faktor Mensch“, denn dieser kann mit vergleichsweise geringer technischer Versiertheit getäuscht und dazu gebracht werden, etwa einen Dateianhang einer Mail zu öffnen. Selbst die besten technischen Schutzmaßnahmen helfen nicht, wenn der Nutzer diese im Irrtum deaktiviert oder umgeht. Um viele der groß angelegten Malware-Kampagnen unbeschadet zu überstehen, haben wir daher vier grundlegende Tipps zusammengefasst, mit denen man sich bzw. sein Unternehmen schützen kann:

  1. Software und Systeme sollten immer aktuell gehalten werden. Regelmäßige (Sicherheits-)Updates schützen bereits vor einem Großteil der Schadsoftware, welche oft auf lang bekannte Lücken setzt.
  2. Datensicherungen sorgen – wie im obigen Beispiel – im Schadensfall dafür, dass die Daten schnell wiederhergestellt werden können. Der Verlust der Arbeit von einigen Tagen ist meist günstiger als das von den Verbrechern verlangte Lösegeld.
  3. Starke Passwörter schützen Online-Konten vor dem Zugriff durch Unbefugte. Wenn möglich, sollte auch die Zwei-Faktor-Authentifizierung aktiviert werden.
  4. Ein Bewusstsein für Sicherheitslücken und Betrugsversuche schützt dort, wo Technik nicht greifen kann. Wenn die infizierte Datei gar nicht erst geöffnet wird, kann sie auch keine Sicherheitslücken ausnutzen.

Eine ausführlichere Schilderung sowie weitere Infos und Interviews finden Sie auf den Seiten des ZDF:

Verschlüsselte Kontaktformulare für Webseiten

Häufig werden wir von Interessierten und Kunden gefragt, wie eine sichere Kommunikation zwischen dem Anbieter eine Webseite und seinen Besuchern stattfinden kann. Problematisch ist dies insbesondere etwa Ärzten oder Therapeuten, die Ihren Patienten eine Kontaktaufnahme beispielsweise per E-Mail oder über die Webseite ermöglichen wollen.

Reguläre E-Mails und gewöhnliche Kontaktformulare, wie man sie auf vielen Webseiten findet, sind hierfür im Allgemeinen nicht geeignet. Denn eine E-Mail (auch eine, die über ein Kontaktformular versendet wird), wird nur mit einer sogenannten Transportverschlüsselung versehen. Das bedeutet, dass Sie zwar auf den Wegen zwischen Absender und Mailserver, zwischen Mailservern untereinander sowie zwischen Empfänger und dessen Mailserver verschlüsselt wird, um den Inhalt vertraulich zu halten.

Gefährlich sind diese Verfahren deshalb, weil die E-Mail üblicherweise sowohl auf dem Mailserver des Absenders als auch auf dem Mailserver des Empfängers unverschlüsselt im Klartext vorliegt. Das bedeutet, dass sowohl der E-Mail-Anbieter als auch ein Angreifer, der sich Zugang zum E-Mail-Konto verschaffen kann, die Mail lesen können. Sind darin sensible Daten, wie Informationen über die Gesundheit enthalten, stellt dies ein kritisches Datenleck dar.

Nur eine Ende-zu-Ende-Verschlüsselung kann dieses Problem effektiv beseitigen. Genau dies haben wir vor kurzem auf unserer eigenen Webseite umgesetzt. Unser Kontaktformular verschlüsselt die Eingaben nun bereits auf dem Rechner des Besuchers. Technisch geschieht dies mit Hilfe der JavaScript-Bibliothek OpenPGP.js. Die Verwendung von OpenPGP.js erfordert keine zusätzliche Software auf dem Rechner des Webseitenbesuchers. Tatsächlich sieht dieser keinen Unterschied zu einem regulären Kontaktformular. Die Ende-zu-Ende-Verschlüsselung stellt jedoch sicher, dass die Eingaben nur vom Empfänger gelesen werden können – in diesem Fall also von uns. Keine Instanz auf dem Weg zwischen dem Rechner des Besuchers und unseren E-Mail-Programmen kann die E-Mail öffnen und den Inhalt einsehen. Lediglich im E-Mail-Programm des Empfängers, also des Webseitenbetreibers, muss die Entschlüsselung konfiguriert werden. Dies geschieht meist mit Hilfe eines kleinen Addons – etwa Enigmail, Gpg4win oder p≡p.

Über Ende-zu-Ende-verschlüsselte Kontaktformulare können auch vertrauliche Informationen wie Terminvereinbarungen oder Anfragen zu gesundheitlichen Problemen DSGVO-konform übermittelt werden.

Die Umstellung eines existierenden E-Mail-Formulars auf eines mit Ende-zu-Ende-Verschlüsselung ist meistens ohne große Probleme möglich. Wenn Sie Ihre Kontaktformulare auch datenschutzgerecht mit einer Ende-zu-Ende-Verschlüsselung versehen möchten, sprechen Sie uns gerne an! Gerne auch über unser eigenes, verschlüsseltes Kontaktformular!

Seminar „Grundlagen der IT-Sicherheit“

Die Sicherheit von Daten stellt für Unternehmen genau so wie für Behörden und öffentliche Einrichtungen eine der größten Gefahren der Digitalisierung dar. Der Diebstahl von Geschäftsgeheimnissen, das Abgreifen von Nutzerdaten sowie Angriffe mit Erpressungssoftware (Ransomware) sind nur einige der möglichen Szenarien, die der Einsatz von IT mit sich bringen kann.

Gegenmaßnahmen zum Schutz vor diesen Gefahren existieren reichlich. Diese aufzusetzen und korrekt zu konfigurieren ist jedoch oft mit großem Aufwand verbunden und ohne Fachkenntnisse kaum möglich.

In diesem Seminar lernen die Teilnehmer die grundlegenden Bausteine der IT-Sicherheit kennen sowie den korrekten Umgang und Einsatz mit den entsprechenden Technologien. Angefangen von der physischen Sicherheit über organisatorische Maßnahmen bis hin zu technischen Detaillösungen wird ein Einblick in alle Bereiche des Felds gewährt. Konzepte wie Zugriffsrechte, Kapselung und Security by Design werden dabei ebenso thematisiert wie konkrete Produkte und Lösungen.

Mit dem dadurch erworbenen Fachwissen können die Seminarteilnehmer bereits zahlreiche Maßnahmen zur Erhöhung der IT-Sicherheit im eigenen Betrieb umsetzen. Exemplarisch werden im Rahmen des Seminars bereits einige Anwendungsszenarien ausgearbeitet. Außerdem ermöglicht das Grundwissen um die verschiedenen Technologien eine schnelle Einarbeitung auch in neue Fragestellungen, die sich später im Betrieb ergeben können.

| Adressaten: | Geschäftsführer und IT-Beauftragte von kleinen und mittelständischen Unternehmen, Behörden und öffentlichen Einrichtungen sowie Selbstständige |
| Zeit: | 9 Uhr bis 16:30 Uhr |
| Ort: | Versammlungsraum des Kultur- und Werkhofs Nauwieser 19, Nauwieserstraße 19, 66111 Saarbrücken |
| max. Teilnehmerzahl: | 20 |
| Referenten: | Dipl.-Jur. Stefan Hessel, Experte für Datenschutzrecht und Frederik Möllers, M.Sc., Experte für technischen Datenschutz und IT-Sicherheit. Beide sind externe Datenschutzbeauftragte der Psychotherapeutenkammer des Saarlandes und beraten darüber hinaus zahlreiche Mediziner und Unternehmen zu IT-Sicherheit und Datenschutz.

| Teilnahmegebühr: | 250 Euro pro Teilnehmer (In der Teilnahmegebühr sind alkoholfreie Kaltgetränke, eine Teilnahmebescheinigung sowie eine Kopie der Seminarunterlagen enthalten.) |
| Anmeldung: | Eine verbindliche Anmeldung ist telefonisch unter 0681/41096848 oder per E-Mail bis drei Wochen vor dem Seminartermin möglich. Sie erhalten dann eine Anmeldebestätigung. Die Anmeldung wird erst durch die anschließende Überweisung der Teilnahmegebühr gültig. Bei Absagen nach dem 26.03.2019 kann der Preis nur zurückerstattet werden, wenn ein Ersatzteilnehmer gefunden werden kann. |

Seminar „Datenschutz in der Medizin“

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) anwendbar. Doch auch Monate später ist längst nicht abschließend geklärt, was Ärzte, Psychotherapeuten und Angehörige anderer medizinischer Berufe bei ihrer täglichen Arbeit zu beachten haben.

Doch damit nicht genug, auch Empfehlungen, die in der Vergangenheit von diverser Seite gegeben wurden, haben sich als falsch erwiesen. Ein Beispiel dafür ist die gängige Praxis sich die Kenntnisnahme der Patienteninformation zum Datenschutz durch den Patienten schriftlich bestätigen zu lassen. Diese Praxis wurde nämlich inzwischen von den deutschen Aufsichtsbehörden für unzulässig erklärt.

Parallel dazu ist abzusehen, dass die Aufsichtsbehörden in der Zukunft wieder verstärkt auf Kontrolle statt auf Beratung setzen – einige Aufsichtsbehörden haben bereits angekündigt. Insofern lohnt es sich, der Frage nachzugehen, was tatsächlich notwendig ist, um die DSGVO umzusetzen und welche Änderungen sich seit ihrer Einführung ergeben haben.

Das Seminar leistet dazu einen wichtigen Beitrag und kann Ärger mit den Aufsichtsbehörden, Abmahnungen oder Schadensersatzansprüche von Betroffenen vermeiden.

Für die Teilnahme an unserem Seminar erhalten Sie von der Psychotherapeutenkammer des Saarlandes 10 Fortbildungspunkte. Eine Akkreditierung der Veranstaltung durch die Ärztekammer des Saarlandes ist beantragt.

| Adressaten: | Niedergelassene Ärzte, Psychotherapeuten, Angehörige anderer medizinischer Berufe sowie deren Beschäftigte |
| Zeit: | 9 Uhr bis 16:30 Uhr |
| Ort: | Versammlungsraum des Kultur- und Werkhofs Nauwieser 19, Nauwieserstraße 19, 66111 Saarbrücken |
| max. Teilnehmerzahl: | 20 |
| Referenten: | Dipl.-Jur. Stefan Hessel, Experte für Datenschutzrecht und M.Sc. Frederik Möllers, Experte für technischen Datenschutz und IT-Sicherheit. Beide sind externe Datenschutzbeauftragte der Psychotherapeutenkammer des Saarlandes und beraten darüber hinaus zahlreiche Arztpraxen, Psychotherapeuten und andere Angehörige von Medizinberufen zum Datenschutzrecht. |
| Teilnahmegebühr: | 250 Euro pro Teilnehmer (In der Teilnahmegebühr sind alkoholfreie Kaltgetränke, eine Teilnahmebescheinigung sowie eine Kopie der Seminarunterlagen enthalten.) |
| Anmeldung: | Eine verbindliche Anmeldung ist telefonisch unter 0681/41096848 oder per-E-Mail bis drei Wochen vor dem Seminartermin möglich. Sie erhalten dann eine Anmeldebestätigung. Die Anmeldung wird erst durch die anschließende Überweisung der Teilnahmegebühr gültig. Bei Absagen nach dem 11.05.2019 kann der Preis nur zurückerstattet werden, wenn ein Ersatzteilnehmer gefunden werden kann. |

Die Umsetzung der Datenschutzgrundverordnung in der psychotherapeutischen Praxis

In den vergangenen Monaten haben wir uns sowohl als externe Datenschutzbeauftragte der Psychotherapeutenkammer des Saarlandes, als auch im Auftrag von zahlreichen psychotherapeutischen Praxen intensiv mit den Auswirkungen der DSGVO auf niedergelassene Psychotherapeuten beschäftigt. Dabei haben wir immer wieder festgestellt, dass viele Praxisinhaber nicht wissen, von welchen Regelungen der DSGVO sie betroffen sind und wie diese konkret umzusetzen sind. Aus diesem Grund gehen wir im folgenden Überblick noch einmal auf die wichtigsten Regelungen der DSGVO ein und erklären, wo bei niedergelassenen Psychotherapeuten Handlungsbedarf für die Umsetzung der DSGVO besteht.

Datenschutzbeauftragter
Da in psychotherapeutischen Praxis in der Regel weniger als 10 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, ist kein Datenschutzbeauftragter notwendig. Aus diesem Grund sollten sich Praxisbetreiber auch weder in Datenschutzerklärungen, noch an anderer Stelle selbst zum Datenschutzbeauftragten erklären.

Verzeichnis von Verarbeitungstätigkeiten
Jede Praxis muss ein sog. Verzeichnis von Verarbeitungstätigkeiten anlegen. Dabei handelt es sich um eine Dokumentation aller Verfahren, bei denen personenbezogene Daten verarbeitet werden. Das Verfahrensverzeichnis muss nicht veröffentlicht, sondern auf Anfrage an die Aufsichtsbehörde herausgegeben werden. Im Saarland ist die zuständige Aufsichtsbehörde die Landesbeauftragte für Datenschutz und Informationsfreiheit bzw. das unabhängige Datenschutzzentrum Saarland. Wir empfehlen, sich bei der Erstellung des Verzeichnisses an einem Muster des bayerischen Landesamts für Datenschutzaufsicht zu orientieren. Obwohl das Muster für eine Arztpraxis erstellt wurde, ist es größtenteils auf psychotherapeutische Praxen übertragbar und enthält die wichtigsten Punkte. Im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten sind auch die technischen und organisatorischen Maßnahmen zur Datensicherheit zu dokumentieren. Wir empfehlen dafür, zunächst die bestehenden Maßnahmen zur Datensicherheit extern überprüfen zu lassen und anschließend ein IT-Sicherheitskonzept zu erstellen. Dabei unterstützten wir Sie gerne!

Datenschutzverpflichtung von Beschäftigten
Grundsätzlich sind Beschäftigte, die mit personenbezogenen Daten umgehen, auf das Datengeheimnis zu verpflichten. Dies gilt insbesondere für Praxen, in denen neben dem Praxisinhaber auch angestellte Therapeuten arbeiten. Wir empfehlen darüber hinaus, auch Reinigungskräfte in einer gesonderten Datenschutzvereinbarung zu verpflichten. Es ist nicht ausgeschlossen, dass diese bei ihrer Tätigkeit in Kontakt mit personenbezogenen Daten kommen. Muster für diese Verpflichtungen sind Teil unseres Erstberatungsangebots zur DSGVO.

Informations- und Auskunftspflichten
Zunächst müssen die Patienten über den Datenschutz in der Praxis informiert werden. Dazu können wir das Muster zur Patienteninformation der KBV empfehlen. Die Patienteninformation kann entweder in der Praxis ausgehängt oder dem Patienten als Flyer ausgehändigt werden. Wir empfehlen, die Möglichkeit zur Kenntnisnahme in der Patientenakte zu vermerken. Die mitunter gängige Praxis, die Kenntnisnahme und eine entsprechende Unterschrift vom Patienten zu verlangen, ist nach Ansicht der Aufsichtsbehörden unzulässig. Sofern die Praxis eine Webseite betreibt, muss auch dort eine Datenschutzerklärung eingestellt werden. In diesem Zusammenhang raten wir von der Verwendung von generalisierten Online-Generatoren ab, da für die Erstellung einer Datenschutzerklärung genaue technische Kenntnisse der Webseite notwendig sind. Sprechen Sie besser mit dem Betreiber ihrer Webseite oder nehmen Sie Kontakt mit uns auf. Wir bieten die Erstellung einer Datenschutzerklärung zum günstigen Pauschalpreis an.

Löschen von Daten
Ein sicheres Löschen von Daten ist in der Praxis erst notwendig, wenn gesetzliche Aufbewahrungspflichten abgelaufen sind. Die gesetzliche Pflicht zur Aufbewahrung beträgt in der Regel zehn Jahre. Zur Vernichtung von Papierakten empfehlen wir einen Aktenvernichter, der mindestens die Sicherheitsstufe 4 erfüllt. Zur sicheren Löschung von Dateien auf Datenträgern wie Festplatten oder USB-Sticks gibt es spezielle Software.

Datensicherheit
In psychotherapeutischen Praxen werden Gesundheitsdaten verarbeitet, die als „besondere Kategorien von personenbezogenen Daten“ einem erhöhten Schutzniveau unterliegen. Aus diesem Grund müssen Praxisbetreiber im Vergleich zu anderen Unternehmern mehr für die Datensicherheit tun. Welche Maßnahmen genau notwendig sind, sollte im Einzelfall geprüft und am besten direkt dokumentiert werden (→ Stichwort: Verzeichnis von Verarbeitungstätigkeiten). Aufgrund dieses hohen Schutzniveaus ist auch der Einsatz von WhatsApp in der Kommunikation mit Patienten unzulässig. Weitere Informationen zur Problematik von WhatsApp finden Sie bei der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Ebenso unzulässig ist die Kommunikation mit Patienten mittels unverschlüsselter E-Mail, da diese nicht dem Stand der Technik entspricht. Wenn Sie dennoch mit Patienten per E-Mail kommunizieren wollen, sollten Sie sich über Möglichkeiten zur E-Mailverschlüsselung informieren oder mit uns Kontakt aufnehmen. Wir bieten etwa auch ein Formular für Webseiten an, welches die Daten Ende-zu-Ende-verschlüsselt per E-Mail versendet.

Auftragsverarbeitung
Verträge zur Auftragsdatenverarbeitung sollten zumindest mit dem Betreuer der Praxis-IT und der Praxis-Webseite geschlossen werden. Ob es darüber hinaus auch notwendig ist, mit dem Serverbetreiber (z.B. Strato oder 1&1) einen Vertrag zur Auftragsverarbeitung zu schließen, ist umstritten. So geht die bayerische Datenschutzaufsicht zumindest bei rein statischen Webseiten nicht davon aus, dass eine Auftragsverarbeitung vorliegt. Da inzwischen jedoch fast alle Anbieter eine einfache Möglichkeit zum Abschluss der Vereinbarung anbieten, empfehlen wir dies dennoch in jedem Fall. Sind weitere Dritte in die Datenverarbeitung der Praxis eingebunden, sollte im Einzelfall geprüft werden, ob eine Auftragsverarbeitung vorliegt oder der Dritte selbst verantwortlich ist (in diesem Fall bedarf es einer Rechtsgrundlage für die Übermittlung).

Meldepflicht bei Datenschutzverletzungen
Besteht durch eine Datenschutzverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen, so muss der Praxisinhaber als verantwortliche Stelle unverzüglich und möglichst innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informieren. Ob eine Meldung notwendig ist, sollte stets im Einzelfall geprüft und sorgfältig abgewogen werden. Wir empfehlen, im Fall einer Datenschutzverletzung schnellstmöglich Experten für IT-Sicherheit und Datenschutz hinzuzuziehen.

Bitte beachten Sie, dass dieser Beitrag nur einen Überblick über die Anforderungen der DSGVO gibt und eine persönliche Beratung nicht ersetzen kann.

Aktueller Bericht im SR zu Verschlüsselungstrojanern

In der vergangenen Woche hat der Saarländische Rundfunk (SR) über einen Angriff mit einem Verschlüsselungstrojaner auf ein saarländisches Unternehmen berichtet und im Rahmen des Berichts auch unseren Geschäftsführer Stefan Hessel interviewt. Der sehenswerte Bericht ist in der Mediathek der SR abrufbar. Parallel wurde über den Fall auch im Hörfunk berichtet.

In diesem Zusammenhang machen wir darauf aufmerksam, dass wir nicht nur im Notfall helfen, sondern auch im Vorfeld schon durch die Beratung von Unternehmen und die Schulung von Mitarbeitern versuchen das Risiko eines Angriffs zu reduzieren. Eine gute Backup-Lösung kann die Folgen eines erfolgreichen Angriffs zum Beispiel sehr wirksam abmildern.

Gelungene Kooperationsveranstaltung mit der IHK Saarland

Unter dem Titel „Sicher Surfen – WLAN, Verschlüsselung und Werbeblocker“ haben wir in einer gemeinsamen Vortragsverantstaltung mit der IHK Saarland im Gründer- und Mittelstandszentrum in Bexbach darüber berichtet, welche Herausforderungen und Risiken durch die Digitalisierung entstehen und wie man sich als Unternehmen dagegen wappnen kann. Zentraler Bestandteil des Vortrages, über den im Vorfeld auch die Saarbrücker Zeitung berichtet hatte, war die Sicherheit von WLAN sowie von Browsern und Webseiten. Im Anschluss an unseren Vortrag, den wir mit zahlreichen Live-Angriffen und praktischen Beispielen möglichst anschaulich und eindrücklich gestaltet hatten, gab es noch eine interessante Diskussion, die sich von der Frage des Vertrauens in Software aus Russland bis hin zu ganz praktischen Fragestellungen bewegte. Wir danken an dieser Stelle der IHK Saarland und dem Gründer- und Mittelstandszentrum in Bexbach für die Ausrichtung der Veranstaltung.

Ein Eindruck von der Veranstaltung (Foto: Rosemarie Kappler)

Rückblick zum EDV-Gerichtstag

Die Veranstalter des EDV-Gerichtstag haben bereits ein überaus positives Fazit zur diesjährigen Fachtagung gezogen. Diesem Fazit möchten wir uns an dieser Stelle vorbehaltlos anschließen. Nicht nur das der EDV-Gerichtstag in diesem Jahr mit knapp 900 Teilnehmern erneut einen Besucherrekord aufgestellt hat, auch die „Hacking Session“ am Mittwoch, zu der wir gleich zwei Vorträge beigesteuert haben, war mit 250 Teilnehmern in diesem Jahr wieder sehr gut gesucht. In diesem Zusammenhang haben wir auch an einem Beitrag des SR zu Sicherheitsproblemen von vernetztem Spielzeug mitgewirkt. Der Beitrag ist hier abrufbar. Im Rahmen der Begleitausstellung hatten wir als Teil der Legal Tech Initative Saarland außerdem viele interessante Gespräche zur IT-Sicherheit des elektronischen Rechtsverkehrs, der Justiz und der Anwaltschaft sowie zur Umsetzung der Datenschutzgrundverordnung und konnten einige Kontakte knüpfen. Vor diesem Hintergrund möchten wir uns beim EDV-Gerichtstag für die Ausrichtung der Tagung und die Gelegenheit als Startup an dieser teilzunehmen bedanken und außerdem die Gelegenheit nutzen dem vielfachen Wunsch nach einer Veröffentlichung unserer Präsentationen nachzukommen.

Impressionen vom EDV-Gerichtstag 2018

 

Starke Präsenz auf dem EDV-Gerichtstag

Unter dem Motto „Rechtspraxis digital: Probleme bewältigen – Zukunft gestalten.“ findet vom vom 19.–21. September 2018 der 27. EDV-Gerichtstag in Saarbrücken statt. Wie in den vergangenen Jahren sind wir auch in diesem Jahr stark vertreten. Zunächst werden wir am Mittwoch im Rahmen der inoffiziellen Eröffnung des EDV-Gerichtstag durch die „Hacking Session“ mit praktischen Demonstrationen zur IT-Sicherheit gleich mit zwei Vorträge vertreten sein.

Frederik Möllers wird über die „(De-)Anonymisierung von Daten: Chan­cen und Gefah­ren der Digi­ta­li­sie­rung“ sprechen und in seinem Vortrag erläutern, warum die Anony­mi­sierung von Daten ein wich­ti­ges Werk­zeug für For­scher, aber auch für Unter­neh­men darstellt. Stefan Hessel wird den Teilnehmern unter dem Motto „‚Wis­sen, Besit­zen, Sein‘ – Grund­la­gen zur Authen­ti­fi­zie­rung“ vermitteln. Er wird dabei erklären, wel­che Anfor­de­run­gen wirk­lich an Pass­wör­ter zu stel­len sind und gibt Tipps, wie sich diese prak­tisch umset­zen las­sen. Außer­dem wer­den Alter­na­ti­ven zu Pass­wör­tern auf­ge­zeigt und dis­ku­tiert, ob diese geeig­net sind, Pass­wör­ter in der Zukunft zu erset­zen. Das vollständige Programm der Hacking Session mit einer Übersicht über die weiteren, spannenden Vorträge finden Sie auf der Webseite des EDV-Gerichtstages.

Außerdem werden wir in diesem Jahr erstmalig mit der Legal Tech Initative Saarland als Aussteller mit eigenem Stand ein Teil der Begleitausstellung sein. Schauen Sie vorbei!

Neue Entwicklungen rund um die DSGVO

Im Zusammenhang mit der Datenschutz-Grundverordnung gab es in jüngster Vergangenheit zwei Neuerungen, die wir Ihnen nicht vorenthalten wollen.

Informationspflicht nach Art. 13 DSGVO

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länger – kurz DSK – hat in einem Papier klargestellt, welchen Anforderungen die Aufklärung der Patienten einer Arztpraxis genügen muss. Die DSGVO schreibt in Art. 13 vor, dass die verantwortliche Stelle (im vorliegenden Fall die Arztpraxis) die Betroffenen (hier den Patienten) über die Datenverarbeitung und die Betroffenenrechte informiert.

Aufgrund vieler Unklarheiten und fehlender Präzisierung – etwa durch Gerichtsurteile – hat sich eine große Zahl niedergelassener Ärzte und Therapeuten dazu entschieden, die Informationen jedem Patienten auszuhändigen und sich die Kenntnisnahme durch Unterschrift bestätigen zu lassen. Dadurch ist man rechtlich abgesichert und kann im Streitfall belegen, dass der Informationspflicht nach Art. 13 DSGVO nachgekommen wurde. In einigen Fällen hatten Patienten jedoch diese Quittierung abgelehnt und keine Unterschrift abgegeben. Als Folge verweigerten ihnen die Arztpraxen die Behandlung.

Die Datenschutzkonferenz hat nun klargestellt, dass eine derartig bescheinigte Kenntnisnahme nicht zwingend erforderlich ist, um die Behandlung aufzunehmen und damit die Daten der Patienten zu verarbeiten. „Die Informationspflicht […]“ – so das Papier – „bezweckt lediglich, dass der Patientin bzw. dem Patienten die Gelegenheit gegeben wird, die entsprechenden Informationen einfach und ohne Umwege zu erhalten. Sie oder er muss diese jedoch nicht zur Kenntnis nehmen, wenn sie oder er dies nicht möchte.“

Im Ergebnis bedeutet dies eine Erleichterung gerade für kleinere Betriebe wie etwa Arzt- oder Therapiepraxen. Sichergestellt werden muss also „nur“, dass die Informationen den Betroffenen zugänglich sind und sich diese bei Interesse einfach informieren können. Hat der Betroffene sowieso kein Interesse daran, alle Informationen genau zu studieren, soll dies also nicht zum Nachteil des Verantwortlichen sein. Er kann die Daten weiterhin verarbeiten, sofern die Möglichkeit der Kenntnisnahme gewahrt bleibt.

Facebook-Seiten

Im Rahmen des selben Treffens der Datenschutzaufsichtsbehörden wurden neue Bedenken hinsichtlich des Betriebs von Facebook-Seiten (sog. „Fanpages“) laut. Wie der Rechtsanwalt Dr. Thomas Schwenke in einem Blogbeitrag nun berichtet, hat Facebook jedoch schnell reagiert und ein sog. „Page Controller Addendum“ veröffentlicht. Darin soll klar geregelt werden, welche datenschutzrechtlichen Pflichten von Facebook wahrgenommen werden und welche vom Betreiber der Fanpage. Der Blogbeitrag zählt ausführlich auf, welche Probleme damit entschärft werden und welche Schritte Seitenbetreiber unternehmen sollten, um Ärger mit Betroffenen oder den Datenschutzbehörden zu vermeiden.

Zusammenfassend sollten durch diese neue Vereinbarung die größten Probleme beseitigt werden. Nach wie vor ungeklärt ist jedoch, ob die Verarbeitung der Daten im Rahmen der „Insights“ (Analysewerkzeuge, mit denen die Besuche der Seite untersucht und aufgeschlüsselt werden können, etwa nach Herkunft und Interessengebieten der Nutzer) allgemein rechtmäßig ist. Nur dann wäre der Betrieb einer Facebook-Fanpage überhaupt mit der DSGVO vereinbar. Wer auf Nummer Sicher gehen will, wartet also besser noch die diesbezüglich laufenden Gerichtsverfahren ab.